Azure AD Connectをやったらどうなる グループ編
ユーザ編は以下
MSのDocsは以下
「Micorosofot 365」グループは連携できるのか
連携しない
「メールが有効なセキュリティ」側に連携される。
「Microsoft 365」グループと同じ名前で連携しようとした場合、勝手に名前にランダムな数字がついたアカウントができる。
AD側
AAD側
「配布リスト」は連携されるのか
AD側で「グループの種類」を「配布」にするとできる。
AD側
AAD側
「メールが有効なセキュリティ」は連携できるのか
AD側で「グループの種類」を「セキュリティ」にするとできる。
AD側
AAD側
「セキュリティ」は連携できるのか
AD側でメールアドレスを指定しなかった場合にできる。
メールアドレスを指定した場合、「メールが有効なセキュリティ」として作成されてしまう。
ADとAADどちらのメンバーが優先されるのか
結論:AD側の設定で上書きされる。
AD側にuser01、AAD側にuser02の設定を行ったところ、以下のように同期された。
AD側
AAD側
ADとAADで一部のユーザだけが不一致の場合どうなるのか
両方の設定が残るわけではなく、AD側で上書きされることになる。
AD側にuser01、user03を所属させ、AAD側にuser01、user04を所属させる設定を行ったところ、以下のように同期された。
AD側
AAD側
連携済みのグループを変更/削除しようとしたらどうなる
できない。
グループに所属したユーザが連携対象でない場合はどうなるか
連携されていないのでAAD側にも表示されない。
AD側
AAD側
ちなみにユーザを連携させればきちんと登録される
連携対象OUから連携対象外のOUにグループを移動させたらどうなるのか
削除される。
その際AAD側の「削除済みグループ」にも記載されない。
AD側で名称、メールを変更したらどうなるか
名前は変わるけどメールアドレスは変更されない。
また、変更されたメールアドレスも別途作成されない。
AD側 元元secusecuという名称を変更
AAD側
問題点:AD側の「セキュリティ」でAAD側が「配布リスト」だった場合
ADが「セキュリティ」でAADが「配布」だった場合、AD側を「配布」にしないと整合が取れない。しかし、該当「セキュリティ」グループでフォルダ権限をしている場合には権限設定が出来なくなる。かといってAAD側の「配布」は「メールが有効なセキュリティ」には変えられない。
AAD側の「配布リスト」を一旦消して、「メールが有効なセキュリティ」で作り直すことになるのだろうか。
最後に
何か新しいことがわかったら都度更新していきたい。
以上